⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Soláthar bogearraí slán de réir éilimh in 2026

Igor Petreski

Maidin Dé Máirt go luath in 2026 atá ann, agus tá Maria, an CISO i gcuideachta íocaíochtaí Eorpach atá ag leathnú go tapa, ag cur i láthair don bhord. Ba cheart gur gnáth-mhír a bheadh sa mhír dheireanach ar an gclár oibre: faomhadh d’ardán nua braite calaoise atá cumhachtaithe ag IS. Tá taispeántas láidir ag an soláthraí, lascaine theoranta ama, forléargas slándála aon leathanaigh agus conradh caighdeánach.

Ansin tosaíonn na ceisteanna.

Fiafraíonn an Príomhfheidhmeannach, “Conas a bheidh a fhios againn go bhfuil an t-ardán seo slán? Tá ár gcliaint seirbhísí airgeadais ag iarraidh fianaise chomhlíonta DORA, agus beidh an soláthraí seo mar chuid dár mbonneagar criticiúil.”

Fiafraíonn an fhoireann dlí an bhfuil an Comhaontú Próiseála Sonraí réidh, cá bpróiseálfar sonraí custaiméirí AE agus an bhfuil fophhróiseálaithe nochta. Fiafraíonn an ceannaire athléimneachta oibríochtúla faoi phleanáil scoir, easpórtálacha cúltaca agus leanúnachas i gcás feidhmeanna criticiúla. Iarrann innealtóir slándála táirgí nochtadh leochaileachtaí, fianaise phaistithe agus SBOM nó ráiteas coibhéiseach trédhearcachta comhpháirteanna. Cuireann an fhoireann soláthair an cheist a fhágann riosca soláthraithe costasach: “An féidir linn faomhadh anois agus na doiciméid a bhailiú tar éis an tsínithe?”

Sin é an nóiméad ina n-éiríonn soláthar bogearraí nua-aimseartha ina rialú — nó ina thuarascáil teagmhais amach anseo.

In 2026, ní féidir le soláthar slán bogearraí brath ar dhea-thoil i ndiaidh an chonartha. Tá slándáil slabhra soláthair NIS2, riosca tríú páirtí TFC DORA, cuntasacht phróiseálaithe GDPR agus ionchais slándála táirgí an Cyber Resilience Act tar éis dearbhú soláthraithe a bhogadh go pointe cinnteoireachta an tsoláthair. Teastaíonn soláthar bogearraí slán de réir éilimh ó cheannaitheoirí, áit a sainíonn an custaiméir an fhianaise slándála, na clásail chonartha, na geataí ionduchtaithe agus na freagrachtaí oibríochtúla roimh cheannach.

Do chliaint Clarysec, ní scarbhileog eile a fhaigheann bás sa ríomhphost atá sa réiteach. Is córas rialaithe soláthair é atá ailínithe le ISO/IEC 27001:2022, mapáilte trí bheartais Clarysec, an Zenith Blueprint: Treochlár 30 céim d’iniúchóir agus Zenith Controls, ionas go mbeidh rian in-iniúchta ag gach ceannach bogearraí nó SaaS ón riachtanas gnó go dtí cinneadh riosca soláthraithe.

Is é slán de réir éilimh an rialú nua i soláthar bogearraí

De ghnáth pléitear slán ó dhearadh ó thaobh an tsoláthraí de. Is disciplín ar thaobh an cheannaitheora é slán de réir éilimh: diúltaíonn an eagraíocht bogearraí a cheannach mura féidir leis an soláthraí a léiriú go bhfuil slándáil, príobháideachas, athléimneacht, láimhseáil leochaileachtaí agus in-iniúchadh ionsuite sa tairiscint.

Athraíonn sé seo an comhrá ceannaigh. In ionad a fhiafraí, “An bhfuil slándáil agaibh?”, cuireann soláthar ceisteanna níos géire:

  • Cad iad na sonraí a phróiseálfaidh sibh, cá háit agus faoin ról dlíthiúil nào?
  • Cén fheidhm ghnó a bheidh ag brath oraibh, agus cé chomh criticiúil is atá sí?
  • Cén fhianaise a chruthaíonn go n-oibríonn bhur rialuithe, ní hamháin go bhfuil siad doiciméadaithe?
  • Cé na hamlínte fógra teagmhais a ngeallfaidh sibh orthu?
  • Cén fhianaise maidir le nochtadh leochaileachtaí, paistiú, SBOM nó VEX is féidir libh a sholáthar?
  • Cé na fochonraitheoirí nó fophhróiseálaithe a mbeidh teagmháil acu lenár sonraí nó lenár seirbhís?
  • An féidir linn iniúchadh a dhéanamh, cigireacht a dhéanamh nó fianaise a iarraidh le linn théarma an chonartha?
  • Cad a tharlaíonn ag foirceannadh, imirce, sárú, dócmhainneacht nó fiosrúchán rialála?

Tugann ISO/IEC 27001:2022 cnámh droma an chórais bhainistíochta don athrú seo. Ceanglaíonn Clásal 4 ar an eagraíocht comhthéacs, páirtithe leasmhara agus raon feidhme an ISMS a thuiscint, lena n-áirítear ceanglais rialála sheachtracha agus ceanglais soláthraithe. Déanann Clásal 5 freagracht cheannaireachta agus rialachais de riosca soláthraithe. Ceanglaíonn Clásal 6 measúnú riosca, cóireáil riosca, roghnú rialuithe, an Ráiteas Infheidhmeachta agus cinntí riosca iarmharaigh. Ceanglaíonn Clásal 8 oibriú rialaithe próiseas, lena n-áirítear próisis a sholáthraítear go seachtrach. Ceanglaíonn Clásal 9 faireachán, iniúchadh inmheánach agus athbhreithniú bainistíochta.

Ciallaíonn sé sin nach sreabhadh oibre tráchtála amháin é soláthar bogearraí. Éiríonn sé ina phróiseas ISMS atá á oibriú agus atá iniúchta. Fiafraíonn rialálaithe agus iniúchóirí níos minice cén fáth ar ghlac eagraíocht le soláthraí sular thuig sí an riosca. Tugann soláthar slán de réir éilimh freagra soiléir: rinneadh an riosca a mheasúnú, a chóireáil, a chur i gconradh agus a shannadh sular cruthaíodh spleáchas.

Cén fáth a dtagann NIS2, DORA, GDPR agus CRA le chéile ag roghnú soláthraithe

Tá bord Maria ag cur na gceisteanna cearta mar is féidir le soláthraí bogearraí amháin roinnt oibleagáidí a spreagadh ag an am céanna.

Baineann NIS2 de réir earnála, méid agus criticiúlachta, agus tugann Annex I agus Annex II go leor eagraíochtaí digiteacha, airgeadais, bonneagair, seirbhíse bainistithe agus eagraíochtaí atá spleách ar néalríomhaireacht isteach sa raon feidhme. Ceanglaíonn Article 21 bearta teicniúla, oibríochtúla agus eagraíochtúla iomchuí agus comhréireacha, lena n-áirítear slándáil slabhra soláthair, éadáil shlán, forbairt shlán agus cothabháil, láimhseáil leochaileachtaí, rialú rochtana, beartas bainistíochta sócmhainní, leanúnachas, láimhseáil teagmhais agus measúnú ar éifeachtacht rialaithe. Éilíonn Article 21(3) go sonrach aird ar leochaileachtaí soláthraithe díreacha agus ar chleachtais chibearshlándála soláthraithe. Cruthaíonn Article 23 ionchais maidir le tuairisciú céimnithe ar theagmhais shuntasacha, lena n-áirítear réamhrabhadh laistigh de 24 uair an chloig agus fógra laistigh de 72 uair an chloig.

Baineann DORA ó 17 Eanáir 2025 le heintitis airgeadais atá sa raon feidhme. Cruthaíonn sé ceanglais aonfhoirmeacha do bhainistíocht riosca TFC, tuairisciú teagmhas a bhaineann le TFC, tástáil athléimneachta oibríochtúla digití agus bainistíocht riosca tríú páirtí TFC. Tá DORA go háirithe forordaitheach maidir le soláthar. Teastaíonn straitéisí riosca tríú páirtí TFC, cláir socruithe seirbhíse TFC, dícheall cuí, anailís riosca comhchruinnithe, conarthaí scríofa le forálacha slándála agus athléimneachta, cearta iniúchta agus rochtana, dualgais chomhoibrithe, cearta foirceanta agus pleananna scoir ó eintitis airgeadais. Tá Articles 28 agus 30 lárnach do riosca tríú páirtí TFC agus do rialuithe conarthacha, agus múnlaíonn Articles 17 go 23 bainistíocht teagmhais agus tuairisciú.

Cuireann GDPR geata cuntasachta próiseálaithe leis. Ceanglaíonn Articles 5, 28, 32, 33 agus 34 cuntasacht, conarthaí próiseálaithe, slándáil chuí, comhoibriú i bhfógra sáraithe agus láimhseáil tionchair ar ábhair sonraí. Ní soláthraí amháin é soláthraí SaaS a phróiseálann sonraí pearsanta. Éiríonn sé mar chuid de sheasamh comhlíonta an rialaitheora. Ní mór an DPA, bearta teicniúla agus eagraíochtúla, liosta fophhróiseálaithe, coimircí aistrithe, rialacha coinneála agus oibleagáidí scriosta a thuiscint sula dtosaíonn próiseáil.

Cuireann ionchais CRA dearbhú táirgí leis. Fiú nuair nach é an ceannaitheoir an monaróir, ba cheart d’fhoirne soláthair fianaise a éileamh ar fhorbairt shlán, láimhseáil leochaileachtaí, tacaíocht táirge, nuashonruithe slándála, nochtadh comhordaithe leochaileachtaí agus trédhearcacht comhpháirteanna, amhail SBOM nó ráiteas coibhéiseach. Baineann na ceanglais seo le RFPanna, iarscríbhinní slándála agus geataí glactha.

Is simplí an téama coiteann: ní mór don eagraíocht cheannaithe a bheith ar an eolas faoin méid atá á cheannach aici, faoin riosca atá á iompórtáil aici agus faoin bhfianaise is féidir léi a tháirgeadh nuair a iarrann rialálaithe, custaiméirí nó iniúchóirí í.

Cnámh droma rialuithe ISO 27001 do dhearbhú soláthraithe

Ní hé an tsamhail soláthair slán de réir éilimh is éifeachtaí rialachán anuas ar rialachán. Is cur chuige bunaithe ar rialuithe é ar dtús. Úsáideann Clarysec ISO/IEC 27001:2022 mar chnámh droma an ISMS, le tacaíocht ó threoir rialaithe ISO/IEC 27002:2022 agus mapáil tras-chomhlíonta in Zenith Controls.

In Zenith Controls, tá dearbhú soláthraithe bunaithe ar rialuithe ISO/IEC 27002:2022 5.19, 5.20 agus 5.21. Ní míreanna seicliosta scoite iad seo. Cruthaíonn siad saolré soláthair.

Rialú ISO/IEC 27002:2022Ceist soláthairFianaise slán de réir éilimhPríomhriosca laghdaithe
5.19 Slándáil faisnéise i gcaidrimh le soláthraitheAr cheart dúinn dul i gcaidreamh leis an soláthraí seo ar chor ar bith?Aicmiú soláthraithe, dícheall cuí, rátáil riosca, úinéireacht, minicíocht athmheasúnaitheNochtadh do sholáthraithe anaithnide
5.20 Aghaidh a thabhairt ar shlándáil faisnéise laistigh de chomhaontuithe soláthraitheAn bhfuil ár gceanglais infhorfheidhmithe?Iarscríbhinn slándála, DPA, SLA, cearta iniúchta, fógra teagmhais, clásail fochonraitheoirí, clásail scoirLaige chonarthach
5.21 Slándáil faisnéise sa slabhra soláthair TFC a bhainistiúAn féidir le spleáchais TFC iartheachtacha sinn a chomhréiteach?Liosta fochonraitheoirí, rialuithe fophhróiseálaithe, ailtireacht néalríomhaireachta, fianaise chomhpháirteanna, láimhseáil leochaileachtaí, anailís chomhchruinnitheRiosca ceilte slabhra soláthair agus teicneolaíochta

Mapálann Zenith Controls na rialuithe ISO seo thar ionchais rialála agus iniúchta. Ní chruthaíonn sé rialuithe dílseánaigh ar leith darb ainm Zenith Controls. Cabhraíonn sé le foirne tuiscint a fháil ar an gcaoi a dtacaíonn rialuithe ISO/IEC 27002:2022 le NIS2, DORA, GDPR, NIST CSF 2.0 agus dearbhú atá dírithe ar COBIT.

Tá tábhacht leis an líonra tacaíochta rialuithe freisin. Ceanglaíonn dearbhú soláthraithe le bainistíocht sócmhainní, rialú rochtana, slándáil néalríomhaireachta, bainistíocht leochaileachtaí, logáil, bainistíocht teagmhais, ullmhacht TFC do leanúnachas gnó, forbairt shlán, slándáil feidhmchlár, bainistíocht cumraíochta, cúltaca, iomarcaíocht, comhlíonadh dlíthiúil, príobháideachas, bainistíocht athruithe agus athbhreithniú neamhspleách. Comhordaíonn soláthar an próiseas, ach ní mór úinéireacht riosca a bheith ag an Úinéir Gnó, slándáil faisnéise, dlí, príobháideachas, TF, airgeadas agus úinéir na seirbhíse.

Geataí beartais Clarysec roimh shíniú

Bogann samhail bheartais Clarysec dearbhú soláthraithe suas an sruth d’aon ghnó. Tá an teanga is láidre san áit ar cheart di a bheith: sula sínítear comhaontuithe, sula ngníomhachtaítear síntiúis néalríomhaireachta agus sula gcomhroinntear sonraí.

Deir leagan SME de Beartas Slándála Tríú Páirtí agus Soláthraithe Clarysec:

Déan rioscaí soláthraithe a mheasúnú agus a dhoiciméadú sula sínítear comhaontuithe nó sula ndeonaítear rochtain.

Tagann sé seo ón rannán “Cuspóirí”, clásal beartais 3.3. Tá an clásal gearr mar tá intinn an rialaithe neamh-inchaibidlithe: gan measúnú riosca, gan conradh, gan rochtain.

I dtimpeallachtaí fiontair, treisíonn Beartas slándála tríú páirtí agus soláthraithe Clarysec an geata réamhchonartha:

Ní mór do gach soláthraí nua measúnú slándála doiciméadaithe a dhéanamh sula gcuirtear an conradh i bhfeidhm.

Tagann sé seo ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.1.1. Aithníonn an beartas céanna freisin “Cearta iniúchta, cigireachta agus iarrata fianaise slándála” sa rannán “Ceanglais rialachais”, clásal beartais 5.3.4.

Maidir le ceannach néalríomhaireachta agus SaaS, cuireann Beartas Úsáide Néalríomhaireachta SME geata formheasa praiticiúil leis:

Ní mór don Bhainisteoir Ginearálta (GM) athbhreithniú agus faomhadh a dhéanamh ar gach úsáid de sheirbhísí néalríomhaireachta roimh chur chun feidhme nó síntiús.

Tagann sé seo ón rannán “Ceanglais rialachais”, clásal beartais 5.1. In eagraíocht bheag, d’fhéadfadh an faomhadh sin a bheith coibhéiseach le bord rialachais néalríomhaireachta. I bhfiontar, éiríonn sé ina shreabhadh oibre trasna soláthair, slándála, príobháideachais agus ailtireachta. Tacaíonn Beartas Úsáide Néalríomhaireachta an fhiontair le ceanglais chonarthacha néalríomhaireachta freisin, lena n-áirítear forálacha infhorfheidhmithe i gconarthaí CSP.

Maidir le fáil bogearraí, tá Beartas um Cheanglais Slándála Feidhmchlár an fhiontair soiléir:

Ní mór ceanglais slándála a áireamh in RFPanna, conarthaí agus SLAanna i socruithe faighte bogearraí nó seachfhoinsithe, lena n-áirítear forálacha maidir le hamlínte leighis leochaileachtaí agus cearta iniúchta tríú páirtí.

Tagann sé seo ón rannán “Ceanglais rialachais”, clásal beartais 5.4. Tabhair faoi deara an t-ord: RFPanna, conarthaí agus SLAanna. Bíonn slándáil i láthair ag céim an idirghníomhaithe leis an margadh, ní mar cheangaltán iardhámhachtana.

Maidir le soláthar atá faoi stiúir GDPR, éilíonn Beartas um Chomhlíonadh Dlíthiúil agus Rialála SME Clarysec:

Ní mór clásail Chomhaontaithe Próiseála Sonraí nó téarmaí conarthacha coibhéiseacha a chomhaontú sula gcomhroinntear aon sonraí pearsanta nó íogaire.

Tagann sé seo ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.3.2. Coscann sé seo ceann de na teipeanna ionduchtaithe SaaS is coitianta: sonraí pearsanta a uaslódáil isteach in uirlis sula gcomhaontaítear téarmaí próiseálaí, oibleagáidí sáraithe agus coinníollacha fophhróiseálaithe.

Maidir le slándáil feidhmchlár soláthraithe, éilíonn Beartas um Cheanglais Slándála Feidhmchlár SME ar sholáthar:

oibleagáidí a shonrú maidir le nochtadh leochaileachtaí, amanna freagartha agus paistiú.

Tagann sé seo ón rannán “Ceanglais rialachais”, clásal beartais 5.3.2. Deir sé freisin:

Ní mór don GM doiciméadacht nó deimhnithe (m.sh., SOC 2, ISO 27001, tuarascálacha tástála slándála) a iarraidh mar fhianaise ar chomhlíonadh soláthraí, nuair is infheidhme.

Tagann sé seo ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.3.2. Is é an focal lárnach fianaise. Ní bhíonn soláthar slán de réir éilimh bunaithe ar ráitis iontaoibhe. Bíonn sé bunaithe ar dhéantáin atá in-athbhreithnithe.

Geata soláthair Zenith Blueprint

Caitheann Zenith Blueprint le slándáil soláthraithe mar rialú atá á oibriú, ní mar mana soláthair. Sa chéim Rialuithe i bhFeidhm, clúdaíonn Céim 23 rialuithe eagraíochtúla 5.19 go 5.37, lena n-áirítear slándáil faisnéise i gcaidrimh le soláthraithe.

Míníonn an Blueprint:

Tosaíonn sé le aicmiú soláthraithe. Ní iompraíonn gach soláthraí an riosca céanna. D’fhéadfadh rochtain fhisiciúil ar oifigí a bheith ag seirbhís ghlantacháin, ach ní ar líonraí. Os a choinne sin, d’fhéadfadh rochtain theicniúil dhomhain ar chroílár bhur mbonneagair a bheith ag gnólacht tástála treáite nó ag soláthraí óstála néalríomhaireachta. Ba cheart don aicmiú a mheas an láimhseálann nó an bpróiseálann an soláthraí bhur bhfaisnéis go díreach, an soláthraíonn sé bonneagar nó ardáin a n-oibríonn sibh orthu, an mbainistíonn nó an gcothaíonn sé córais thar bhur gceann, agus an bhféadfadh a chomhréiteach tionchar a imirt ar bhur gcuspóirí rúndachta, sláine nó infhaighteachta.

Maidir le rialú 5.20, tá an Blueprint díreach:

I measc na bpríomhréimsí a chlúdaítear de ghnáth i gcomhaontuithe soláthraithe tá oibleagáidí rúndachta; freagrachtaí rialaithe rochtana; bearta teicniúla agus eagraíochtúla maidir le cosaint sonraí, criptiú, tarchur slán, cúltaca agus gealltanais infhaighteachta; amlínte agus prótacail tuairiscithe teagmhais; ceart iniúchta, lena n-áirítear minicíocht, raon feidhme agus rochtain ar fhianaise ábhartha; rialuithe fochonraitheoirí; agus forálacha deireadh conartha amhail filleadh nó scriosadh sonraí, aisghabháil sócmhainní agus díghníomhachtú cuntas.

Tagann sé ar an gconclúid gurb é rialú 5.20 “an líne dheireanach giarála atá agaibh” agus go “mbaineann sé leis an ngeata soláthair.” Nuair a shínítear an conradh, titeann an ghiaráil. Roimh shíniú, is féidir fianaise agus oibleagáidí a dhéanamh ina gcoinníollacha ceannaigh.

Maidir le forbairt sheachfhoinsithe, cuireann an chéim Rialuithe i bhFeidhm, Céim 21, rialú 8.30, ceanglas soláthair eile leis. Deir an Blueprint:

I gcroílár an rialaithe seo tá an prionsabal gur ceanglas conarthach í slándáil, ní ionchas ó bhéal.

Ba cheart d’fhoirne seachfhoinsithe na caighdeáin forbartha slána chéanna a chomhlíonadh agus a chomhlíonann foirne inmheánacha, lena n-áirítear anailís statach, athbhreithniú piaraí, criptiú, MFA chuig stórtha agus infheictheacht i gcód, cinntí ailtireachta, leochaileachtaí, iarratais athraithe, logaí CI/CD agus torthaí scanadh.

Tóg geata RFP slán de réir éilimh in aon tráthnóna amháin

Glac leis go dteastaíonn ardán anailísíochta custaiméirí ó d’eagraíocht. Ionsúfaidh sé aitheantóirí custaiméirí, imeachtaí iompraíochta, meiteashonraí tacaíochta agus tagairtí idirbheart. Teastaíonn faomhadh tapa ón Úinéir Gnó. Tá seachtain amháin ag an bhfoireann slándála.

Tosaigh le taifead geata soláthair agus bain úsáid as an Beartas slándála tríú páirtí agus soláthraithe, Beartas um Cheanglais Slándála Feidhmchlár, Beartas Úsáide Néalríomhaireachta, Beartas um Chomhlíonadh Dlíthiúil agus Rialála agus Céim 23 den Zenith Blueprint mar dhoiciméid fhoinse.

Réimse geataIontráil shamplach
Ainm an tsoláthraíSoláthraí SaaS anailísíochta custaiméirí
Cineál seirbhíseSaaS néalríomhaireachta a phróiseálann sonraí custaiméirí agus úsáide
Úinéir GnóCeann Oibríochtaí Custaiméirí
Sonraí lena mbaineannAitheantóirí custaiméirí, imeachtaí úsáide, meiteashonraí tacaíochta, tagairtí idirbheart
Ról GDPRIs dócha gur próiseálaí é an soláthraí agus gur rialaitheoir í an eagraíocht
CriticiúlachtArd má úsáidtear é le haghaidh cinntí seirbhíse custaiméirí, meánach más anailísíocht amháin atá ann
Ábharthacht NIS2Tacaíonn an soláthraí le hoibríochtaí seirbhíse digití agus d’fhéadfadh sé tionchar a imirt ar thionchar teagmhais
Ábharthacht DORAÁbhartha má thacaíonn anailísíocht le hoibríochtaí seirbhísí airgeadais nó le tuairisciú feidhme criticiúla
Ábharthacht dearbhaithe CRASlándáil táirgí, láimhseáil leochaileachtaí, tacaíocht nuashonruithe, trédhearcacht comhpháirteanna
Rátáil riosca tosaighArd go dtí go mbeidh fianaise DPA, teagmhais, fochonraitheoirí agus easpórtála ar fáil
Coinníoll formheasaGan chonradh roimh mheasúnú slándála, DPA agus athbhreithniú ar iarscríbhinn slándála

Ceangail ceistneoir slán de réir éilimh leis an RFP. Seachain ceisteanna cineálacha amhail “An gcriptíonn sibh sonraí?” Cuir ceisteanna atá dírithe ar fhianaise:

  1. Soláthraigí bhur dtuarascáil reatha neamhspleách dearbhaithe slándála, deimhniú nó fianaise rialaithe choibhéiseach.
  2. Sainaithnígí suíomhanna óstála, roghanna cónaí sonraí, suíomhanna cúltaca agus suíomhanna rochtana tacaíochta.
  3. Soláthraigí an DPA, liosta fophhróiseálaithe agus an próiseas fógra maidir le hathruithe fophhróiseálaithe.
  4. Deimhnigh amlínte fógra teagmhais, lena n-áirítear tacaíocht réamhrabhaidh 24 uair an chloig nuair a d’fhéadfadh sreafaí oibre NIS2 a bheith spreagtha agus tacaíocht tuairiscithe chéimnithe do chustaiméirí rialáilte ag DORA.
  5. Soláthraigí beartas nochta leochaileachtaí, SLAanna paistí de réir déine agus fianaise ar rialachas leighis leochaileachtaí le déanaí.
  6. Soláthraigí fianaise slándála táirgí, amhail cur síos ar shaolré forbartha slána, achoimre ar thástáil treáite, SBOM nó ráiteas trédhearcachta comhpháirteanna agus tréimhse tacaíochta nuashonruithe slándála.
  7. Deimhnigh MFA, an phribhléid is lú, logáil, faireachán ar rochtain riaracháin agus cearta iniúchta custaiméara nó cearta iarrata fianaise.
  8. Déanaigí cur síos ar easpórtáil, scriosadh, filleadh, tacaíocht foirceanta agus cúnamh aistrithe.
  9. Liostaígí fochonraitheoirí ábhartha agus spleáchais TFC a thacaíonn leis an tseirbhís.
  10. Deimhnigh an n-úsáidtear sonraí custaiméirí le haghaidh oiliúna, anailísíochta, feabhsú táirgí nó forbairt samhlacha IS, agus sainaithnígí an bonn dlíthiúil nó samhail treorach próiseálaí.

Ansin scóráil an soláthraí roimh idirbheartaíocht.

Fearann ceanglaisCoinníoll pasálaCoinníoll diúltaithe nó uaschéimnithe
Fianaise slándálaTuarascáil dearbhaithe reatha, achoimre ar thástáil slándála nó doiciméadacht choibhéiseachRáitis mhargaíochta amháin, gan fianaise ar fáil
Ullmhacht phróiseálaí GDPRDPA glactha roimh chomhroinnt sonraí, fophhróiseálaithe nochtaDPA curtha siar go dtí tar éis ionduchtaithe nó téarmaí fophhróiseálaithe doiléire
Gealltanais teagmhaisAmlíne fógra chonarthach, teagmhálaithe uaschéimnithe, tacaíocht tionchair custaiméaraDiúltaíonn an soláthraí d’oibleagáidí sonracha fógra nó comhoibrithe
Láimhseáil leochaileachtaíCainéal nochta, SLA leighis bunaithe ar dhéine, fianaise phróisis paistíGan phróiseas nochta nó gan ghealltanais leighis
Slabhra soláthair TFCÓstáil, fochonraitheoirí agus spleáchais chriticiúla nochtaNí aithneoidh an soláthraí soláthraithe iartheachtacha criticiúla
Scoir agus athléimneachtEaspórtáil, scriosadh, cúltaca agus cúnamh foirceanta doiciméadaitheGan fhianaise easpórtála nó scriosta tástáilte
In-iniúchadhCeart fianaise a iarraidh, cigireacht a dhéanamh nó iniúchadh comhréireach a dhéanamhNí cheadaíonn an soláthraí aon dearbhú bríoch tar éis sínithe

Ar deireadh, nuashonraigh an Clár Rioscaí agus an Ráiteas Infheidhmeachta. Ba cheart don taifead cóireála riosca a léiriú cén fáth a bhfuil rialuithe ISO/IEC 27002:2022 5.19, 5.20 agus 5.21 infheidhme, cé na ceanglais chonarthacha agus theicniúla a roghnaíodh, cé leis an riosca iarmharach agus cén mhinicíocht faireacháin a bhaineann leis. Má theastaíonn ón ngnó dul ar aghaidh in ainneoin bearnaí, bain úsáid as taifead foirmiúil glactha riosca le dáta éaga, rialuithe cúitimh agus faomhadh feidhmiúcháin.

Clásail chonartha a aistríonn rialachán ina oibleagáidí infhorfheidhmithe

Ní mór d’ionchais slándála a bheith ina ngealltanais chonarthacha. D’fhéadfadh deimhniú a bheith úsáideach, ach is annamh a fhreagraíonn sé gach ceist faoi bhur seirbhís chruinn, suíomh sonraí, fochonraitheoirí, samhail tacaíochta, gealltanais teagmhais nó cearta scoir.

Éileamh rialálaTreoir bheartais ClarysecClásal conartha samplach
Cearta iniúchta agus straitéis scoir DORA Article 30Éilíonn Beartas slándála tríú páirtí agus soláthraithe, clásal 5.3.4 “Cearta iniúchta, cigireachta agus iarrata fianaise slándála”Aontaíonn an soláthraí rochtain a sholáthar ar dhoiciméadacht slándála ábhartha ar fhógra réasúnta agus tacú le filleadh ordúil sonraí, scriosadh agus aistriú seirbhíse ar fhoirceannadh.
Slándáil slabhra soláthair agus láimhseáil leochaileachtaí NIS2 Article 21Éilíonn Beartas um Cheanglais Slándála Feidhmchlár, clásal 5.4 amlínte leighis leochaileachtaí agus cearta iniúchta tríú páirtíNí mór don soláthraí próiseas nochta leochaileachtaí a choinneáil, an Custaiméir a chur ar an eolas faoi leochaileachtaí criticiúla a théann i bhfeidhm ar an tseirbhís agus amlínte leighis bunaithe ar dhéine a sholáthar.
Oibleagáidí próiseálaí GDPR Article 28Éilíonn Beartas um Chomhlíonadh Dlíthiúil agus Rialála, clásal 6.3.2 téarmaí DPA roimh chomhroinnt sonraíIonchorpraíonn an Comhaontú Comhaontú Próiseála Sonraí a rialaíonn sonraí pearsanta, fophhróiseálaithe, bearta slándála, comhoibriú sáraithe, coinneáil agus scriosadh.
Rialachas seirbhísí néalríomhaireachtaÉilíonn Beartas Úsáide Néalríomhaireachta, clásal 5.1 athbhreithniú agus faomhadh roimh chur chun feidhme nó síntiúsNí mór don soláthraí réigiúin óstála, suíomhanna cúltaca, rialuithe criptithe, rialuithe rochtana riaracháin agus logaí rochtana sonraí custaiméara a nochtadh.
Ionchais slándála táirgí CRAÉilíonn Beartas um Cheanglais Slándála Feidhmchlár - SME, clásal 5.3.2 nochtadh leochaileachtaí, amanna freagartha agus paistiúNí mór don soláthraí fianaise slándála táirgí, trédhearcacht comhpháirteanna nuair is infheidhme, nochtadh comhordaithe leochaileachtaí agus gealltanais nuashonruithe slándála a sholáthar.

Is é an tábla seo an droichead praiticiúil idir oibleagáidí dlíthiúla agus obair soláthair. Cabhraíonn sé freisin le dlí, slándáil agus soláthar idirbheartaíocht a dhéanamh ón mbonnlíne rialaithe chéanna.

Mapáil tras-chomhlíonta: comhad soláthraí amháin, go leor oibleagáidí

Is é an buntáiste a bhaineann le ISO/IEC 27001:2022 a úsáid mar chnámh droma ná gur féidir le comhad dearbhaithe soláthraí amháin tacú le comhráite rialála éagsúla.

CreatCad nach mór do sholáthar a chruthúFócas rialaithe Clarysec
NIS2Maoirseacht bainistíochta, slándáil slabhra soláthair, éadáil shlán, láimhseáil leochaileachtaí, láimhseáil teagmhais, leanúnachas agus cleachtais chibearshlándála soláthraitheAicmiú soláthraithe, clásail slándála, gealltanais leochaileachta agus teagmhais, faireachán soláthraithe
DORAStraitéis tríú páirtí TFC, clár socruithe, dícheall cuí, anailís chomhchruinnithe, clásail chonartha, cearta iniúchta, comhoibriú teagmhais agus pleananna scoirClár soláthraithe TFC, rátáil criticiúlachta, rialuithe conarthacha, fianaise tástála athléimneachta, tacaíocht foirceanta
GDPRRóil rialaitheora agus próiseálaí, DPA roimh phróiseáil, slándáil na próiseála, comhoibriú sáraithe, rialachas fophhróiseálaithe, fianaise chuntasachtaGeata DPA, mapáil sonraí, liosta fophhróiseálaithe, bearta teicniúla agus eagraíochtúla, gealltanais choinneála agus scriosta
Ionchais CRASlándáil táirgí, forbairt shlán, nochtadh leochaileachtaí, tacaíocht nuashonruithe, trédhearcacht comhpháirteanna agus fianaise slándálaSceideal slándála táirgí RFP, SBOM nó fianaise choibhéiseach, SLAanna paistí, oibleagáidí nochta leochaileachtaí
NIST CSF 2.0Bainistíocht riosca slabhra soláthair, róil soláthraithe, conarthaí, dícheall cuí, faireachán, pleanáil teagmhais agus pleanáil iarfhoirceantaGníomhartha bearna Próifíle Reatha agus Spriocphróifíle, Clár Rioscaí soláthraithe, minicíocht faireacháin
COBIT 2019 agus cleachtas iniúchta ISACARialachas ar fhoinsiú, úinéireacht riosca, cuspóirí rialaithe, fianaise phróisis agus ailíniú tairbhe-riosca-acmhainneTaifid chinnidh, RACI, glacadh le riosca, méadrachtaí, rian iniúchta inmheánach

Tá NIST CSF 2.0 úsáideach mar shraith chumarsáide. Cuireann a fheidhm GOVERN béim ar fheasacht dhlíthiúil, rialála, chonarthach, phríobháideachais agus spleáchais. Éilíonn a thorthaí GV.SC maidir leis an slabhra soláthair próisis bainistíochta riosca slabhra soláthair, róil soláthraithe, tosaíochtú soláthraithe de réir criticiúlachta, ceanglais chonarthacha, dícheall cuí, faireachán, pleanáil teagmhais agus pleanáil foirceanta.

Mapálann sé sin go glan chuig Céim 23 den Zenith Blueprint agus rialuithe ISO/IEC 27002:2022 5.19 go 5.21 mar atá mapáilte in Zenith Controls. Tugann sé teanga don bhord freisin a thuigeann siad: staid reatha, spriocstaid, bearna, riosca, gníomh, úinéir agus dáta.

Cad a iarrfaidh iniúchóirí

Ba cheart do phróiseas láidir soláthair slán de réir éilimh seasamh le lionsaí iniúchta éagsúla.

Tosóidh iniúchóir ISO/IEC 27001:2022 le comhthéacs agus raon feidhme an ISMS. Fiafróidh siad an bhfuil comhéadain agus spleáchais soláthraithe san áireamh, an bhfuil NIS2, DORA, GDPR agus conarthaí custaiméirí san áireamh i gceanglais páirtithe leasmhara, agus an ndéantar rioscaí soláthraithe a mheasúnú go comhsheasmhach faoin modheolaíocht riosca. Leanfaidh siad an rian isteach i gcóireáil riosca, Ráiteas Infheidhmeachta, rialuithe soláthraithe, fianaise oibríochtúil, iniúchadh inmheánach agus athbhreithniú bainistíochta.

Díreoidh athbhreithneoir DORA ar fheidhmeanna gnó a dtacaíonn TFC leo, feidhmeanna criticiúla nó tábhachtacha, taifid spleáchais tríú páirtí, clásail chonarthacha, cearta iniúchta agus rochtana, comhoibriú teagmhais, tástáil athléimneachta, straitéisí scoir agus riosca comhchruinnithe. Má thacaíonn SaaS le feidhm chriticiúil nó thábhachtach, ní leor ceistneoir éadrom soláthraí.

Fiafróidh údarás NIS2 conas a rinne an eagraíocht measúnú ar chleachtais chibearshlándála soláthraithe, leochaileachtaí soláthraithe díreacha, tacaíocht fógra teagmhais, spleáchais leanúnachais agus cinntí éadála slána. Tástálfaidh siad an dtacaíonn dearbhú soláthraithe le hoibleagáidí Article 21 agus Article 23 na heagraíochta féin.

Fiafróidh athbhreithneoir GDPR an raibh róil rialaitheora agus próiseálaí intuigthe sular thosaigh próiseáil, an raibh DPA nó téarmaí coibhéiseacha comhaontaithe sular comhroinneadh sonraí, an raibh fophhróiseálaithe nochta, an raibh bearta slándála iomchuí, an bhfuil comhoibriú sáraithe conarthach agus an bhfuil filleadh nó scriosadh sonraí infhorfheidhmithe.

Díreoidh iniúchóir de stíl COBIT 2019 nó ISACA ar rialachas agus cuntasacht: cé a cheadaigh an soláthraí, cén riosca ar glacadh leis, ar cloíodh le ceanglais bheartais, an bhfuil eisceachtaí á rianú agus an raibh tairbhí, riosca agus acmhainní cothromaithe.

Ba cheart go n-áireodh bhur bpacáiste fianaise aicmiú soláthraithe, faomhadh Úinéara Gnó, measúnú riosca, ceanglais slándála RFP, freagraí soláthraí, DPA, iarscríbhinn slándála, SLA, cearta iniúchta, clár fophhróiseálaithe, gealltanais leochaileachtaí, clásail teagmhais, fianaise suíomh néalríomhaireachta, fianaise logála agus criptithe, téarmaí scoir, taifid athmheasúnaithe, eisceachtaí agus mapáil Ráitis Infheidhmeachta.

Patrúin choitianta teipe i gceannach bogearraí

Is é an chéad teip ná caitheamh le soláthar mar shreabhadh oibre tráchtála agus le slándáil mar shreabhadh oibre teicniúil. Faoin am a fhaigheann slándáil an conradh, tá an gnó tiomanta go síceolaíoch cheana féin, tá an dáta cur chun feidhme fógartha agus tá an ghiaráil idirbheartaíochta lag.

Is é an dara teip ná ionadú fianaise. Soláthraíonn soláthraí deimhniú, agus glacann an ceannaitheoir leis go bhfreagraíonn sé gach ceist. Is féidir le deimhniúchán cabhrú, ach b’fhéidir nach gclúdóidh sé an táirge cruinn, an réigiún óstála, an tsamhail tacaíochta, an slabhra fochonraitheoirí, oibleagáidí teagmhais, úsáid sonraí IS nó ceanglais scoir.

Is é an tríú teip ná riosca iartheachtach a chailliúint. D’fhéadfadh soláthraí SaaS brath ar óstáil néalríomhaireachta, uirlisí anailísíochta, ardáin tacaíochta, foirne amach ón gcósta, soláthraithe samhlacha IS agus próiseálaithe íocaíochta. Ceanglaíonn rialú ISO/IEC 27002:2022 5.21 aird ar an slabhra soláthair TFC taobh thiar den soláthraí díreach. Faoi DORA, nascann sé seo le fochonraitheoireacht agus riosca comhchruinnithe. Faoi GDPR, nascann sé le fophhróiseálaithe. Faoi NIS2, nascann sé le leochaileachtaí soláthraithe díreacha agus cleachtais chibearshlándála soláthraithe.

Is é an ceathrú teip ná teanga lag teagmhais. D’fhéadfadh conradh a deir “cuirfidh an soláthraí an custaiméir ar an eolas go pras” gan tacú le réamhrabhadh NIS2, tuairisciú céimnithe DORA, cumarsáidí custaiméirí nó uaschéimniú inmheánach. Teastaíonn frámaí ama, truiceanna, teagmhálaithe, dualgais chomhoibrithe agus oibleagáidí fianaise ó chlásail teagmhais.

Is é an cúigiú teip ná cearta scoir doiléire. Má éiríonn soláthraí neamhshlán, neamhchomhlíontach, faighte, dócmhainneach nó mí-oiriúnach go straitéiseach, teastaíonn easpórtáil, scriosadh, tacaíocht aistrithe, díghníomhachtú cuntas agus fianaise scriosta ón gceannaitheoir. Ní iarsmaoineamh dlíthiúil é scoir. Is rialú athléimneachta é.

Ó gheata soláthair go dearbhú beo soláthraithe

Ní chríochnaíonn soláthar slán de réir éilimh ag síniú. Tá cúig chéim i saolré aibí soláthraithe ar stíl Clarysec.

Céim saolréGníomhaíocht rialaitheTaifead fianaise
ÉileamhRiachtanas gnó, sonraí agus criticiúlacht sainaitheanta roimh idirghníomhú leis an margadhFoirm iontógála, aicmiú sonraí, rátáil criticiúlachta
RoghnúÁiríonn RFP ceanglais slándála, príobháideachais, athléimneachta agus dearbhaithe táirgíSceideal RFP, freagraí soláthraí, bileog scórála
ConradhÉiríonn oibleagáidí infhorfheidhmithe roimh shíniúDPA, iarscríbhinn slándála, SLA, cearta iniúchta, clásail teagmhais agus scoir
IonduchtúDéantar rochtain, cumraíocht, logáil, criptiú agus sreafaí sonraí a bhailíochtúSeicliosta ionduchtaithe, faomhadh rochtana, fianaise chumraíochta
OibriúDéantar faireachán agus athmheasúnú ar riosca soláthraitheMinicíocht athbhreithnithe, fianaise nuashonraithe, teagmhais, athruithe, glacadh le riosca

Maidir le soláthraithe ardriosca, ba cheart go n-áireodh faireachán athnuachan fianaise, cruinnithe athbhreithnithe slándála, rannpháirtíocht i gcleachtaí boird teagmhais, athbhreithniú rochtana, tuairisciú leochaileachtaí agus paistí, athbhreithniú athraithe seirbhíse agus nuashonruithe fophhróiseálaithe. Maidir le soláthraithe riosca níos ísle, d’fhéadfadh athbhreithniú bliantúil a bheith leordhóthanach. Tacaíonn inscálaitheacht ISO 27001, comhréireacht NIS2 agus comhréireacht DORA le saincheapadh, ach ní mór saincheapadh a údarú agus a dhoiciméadú.

An chéad chéim eile le Clarysec

Ní bheidh an chéad cheannach SaaS riosca eile ag fanacht le hathdhearadh rialachais foirfe. Tosaigh leis an gcéad iarratas soláthair eile.

Úsáid an Zenith Blueprint: Treochlár 30 céim d’iniúchóir chun rialuithe caidrimh soláthraithe i gCéim 23 agus rialuithe forbartha seachfhoinsithe i gCéim 21 a chur chun feidhme. Úsáid Zenith Controls chun rialuithe ISO/IEC 27002:2022 5.19, 5.20 agus 5.21 a mhapáil thar NIS2, DORA, GDPR, NIST CSF 2.0 agus ionchais iniúchta atá dírithe ar COBIT. Úsáid leabharlann bheartais Clarysec, lena n-áirítear an Beartas slándála tríú páirtí agus soláthraithe, Beartas um Cheanglais Slándála Feidhmchlár, Beartas Úsáide Néalríomhaireachta agus Beartas um Chomhlíonadh Dlíthiúil agus Rialála, chun an geata a dhéanamh infhorfheidhmithe.

Sula sínítear an chéad chonradh eile, éiligh aicmiú soláthraithe, fianaise slándála, ullmhacht DPA, gealltanais teagmhais, láimhseáil leochaileachtaí, trédhearcacht fochonraitheoirí, cearta iniúchta agus téarmaí scoir.

Sin é soláthar slán de réir éilimh. Sin mar a athraíonn CISOanna brú rialála ina gcumhacht cheannaigh. Sin mar a iompaíonn bainisteoirí comhlíonta oibleagáidí forluiteacha ina gcomhad fianaise amháin. Sin mar a fheiceann iniúchóirí gur breithníodh riosca soláthraithe sular cruthaíodh spleáchas. Agus sin mar a cheannaíonn úinéirí gnó bogearraí níos tapa gan riosca neamhbhainistithe a oidhreacht.

Réidh chun do chéad cheannach bogearraí eile a iompú ina rialú atá ullamh d’iniúchadh? Féach ar shraith chomhtháite bheartais Clarysec, íoslódáil an Zenith Blueprint, athbhreithnigh Zenith Controls nó sceideal taispeántas chun clár soláthair slán de réir éilimh a thógáil a sheasann suas d’ionchais NIS2, DORA, GDPR, CRA agus do scrúdú fíor-iniúchóirí.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article